[发明专利]一种基于流量统计的VoIP识别方法

说明书

技术领域

本发明属于计算机网络管理技术领域，涉及一种检测VoIP流量的方法。

背景技术

随着互联网的快速发展，越来越多的网络应用进入人们的生活中。作为使用动态端 口号的一类典型应用，VoIP具有其自身的固有属性和广泛应用。无论是为了让管理人员 更好的管理网络，还是为了让研究人员分析和改善网络性能，实现VoIP流量的识别都是 其中的基础环节。同时，VoIP流量的识别还能为入侵检测提供有力的支持。

传统的检测方法根据传输层的端口号来判断网络应用的具体类型。在网络应用都使 用固定端口号的前提下，这不失为一种好办法。但是，随着互联网的发展，越来越多的 网络应用开始使用动态的端口号。这就使得传统的方法不再适用。

当前的研究集中在对传输层的研究上。这类方案只应用传输层的信息来检测流量。 由于避开了对应用层负载的处理，这类方法被认为有很大的发展前景。本发明的检测方 法就属于这一范畴。目前，基于统计的方法和基于机器学习的方法都被应用到了检测中 来。通过对统计数据的观测和对传输的trace文件的分析，具体的判别标准被不断发展。 研究者也提出了多种判别方法。如应用贝叶斯评估器和贝叶斯神经网络方法实现对流量 的识别，以及基于概率聚类的最大期望值(EM)的检测方法。尽管以上的这些方法都是 基于已经成熟的理论来进行处理，并且能够检测出未知协议的数据流，但是，这一类方 法的普遍特点是需要大量复杂的计算，而且，在进行正式应用之前，这些方法需要进行 大量的预处理。这就导致统计效率的降低，而在实时检测中，检测效率是一个很重要的 因素。

另一方面，人们也开始关注主机行为的特点。在检测中关注数据传输时p2p双方的 行为，来区分所有流所属的应用类型。但是，这类方法都是默认同一时刻主机只运行一 种网络应用，而实际上，多个网络应用完全有可能同时在一台主机上运行。在这种情况 下，这类方法很难得到较高的鉴别准确性。

发明内容

本发明旨在克服现有技术的上述不足，提供一种可以快速、准确识别网络中VoIP流 量的方法。

为了达到上述目的，本发明采用如下的技术方案：

一种基于流量统计的VoIP识别方法，利用Winpcap工具对数据包侦听，进行包头中 相关信息的提取和记录；之后，根据所提取和记录的相关信息对终端使用端口号的数量、 数据包大小以及数据包到达时间间隔进行统计，筛选符合以下三个条件的流，实现VoIP 流量的识别，对于一条流，筛选步骤为：

(1)源IP使用端口数和目的IP使用的端口数之差是否小于2，若是，则判定为具 有VoIP流的第一个特征。

(2)设每个数据包的大小len_i，统计相同大小数据包出现的次数num_i，以及数 据包总量n和数据包的种类数m，如果数据包大小为len_1的有num_1个，大小为len_2 的有num_2个，……，大小为len_m的有num_m个，定义数据包的熵E为 若该流的数据包大小的熵的值为0或者在0.3至0.8之间， 则判定为具有VoIP流的第二个特征；

(3)定义EL和ES分别为数据包到达时间间隔的最大估值和最小估值，若最小估值 ES和最大估值EL的比值大于设定值th，并且接近ES的数据包数和接近EL的数据包数 的差小于设定值p，则判定为具有VoIP流的第三个特征。

本发明提供的检测方法，能够不依赖于端口号及数据包负载信息，仅使用传输层的 流量信息，实现对VoIP流量的在线检测。本发明在避免大量复杂计算的前提下，实现了 对VoIP流量的识别并能维持较高的识别率。

附图说明

图1是识别系统的整体执行过程。

图2是本发明定义的存储结构的直观示意图。

图3是对数据包到达时间间隔进行统计的过程示意图。

具体实施方式

本发明的技术方案是：

(1)首先利用Winpcap工具实现对数据包的侦听，每到达一个数据包，就要对包头 中相关信息进行提取和记录。

(2)提取和记录数据包头相关信息时，需要在缓存中建立特定的数据结构，实现对 流信息、数据包大小以及到达时间的存储。每到达一个新的数据包，按照数据包格式提 取包头中所需的信息，根据其所属的流，存入相应的位置中。